首页>编程与逆向>内核编程>远程线程监控问题
回复
« 返回列表
formytest
formytest
驱动牛犊
驱动牛犊
  • 注册日期2007-01-16
  • 最后登录2010-03-17
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望33点
  • 贡献值0点
  • 好评度32点
  • 原创分0分
  • 专家分0分
写私信
阅读:1239回复:3

远程线程监控问题

楼主#
更多 发布于:2007-04-06 13:21
目前.我在驱动里面hook了NtCreateThread,有几个问题,
1.PsSetCreateThreadNotifyRoutine是不是在创建线程代码之后执行完之后才响应的?
因为我在NtCreateThread的hook代码里面dbgprint比PsSetCreateThreadNotifyRoutine要先打印出来.
2.A.Exe往B.exe注入代码,对于远程线程CreateRemoteThread来说,在NtCreateThread的hook代码里面,PsGetCurrentProcessID是A.exe还是B.exe的?
那么如何获得另外一个???
我目前在研究hips系统,要判定监控远程线程,还有别的什么好的办法
请各位帮忙!
谢谢.
喜欢0
回复
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2007-04-06 20:43
1.是
2. A.EXE
驱动开发者 呵呵
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
板凳#
发布于:2007-04-06 21:10
Notify通知时线程往往没有Ready呢~~

有可能惨死~

呵呵~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
wywwwl
wywwwl
驱动大牛
驱动大牛
  • 注册日期2002-08-16
  • 最后登录2018-04-07
  • 粉丝1
  • 关注0
  • 积分-10分
  • 威望135点
  • 贡献值6点
  • 好评度76点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
地板#
发布于:2007-04-12 21:54
PsSetCreateThreadNotifyRoutine
显卡驱动长搞着个
琢磨悟真知
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部